مدیر عامل بایننس Changpeng Zhao (CZ) در 8 دسامبر به 28 میلیون دنبال کننده توییتر خود هشدار داد که "به طور منطقی مطمئن است" که نشت کلید API در پلت فرم مدیریت تجارت ارزهای دیجیتال رخ می دهد.
من کاملاً مطمئن هستم که نشت گسترده کلید API از 3Commas وجود دارد. اگر تا به حال یک کلید API را در 3Commas (از هر صرافی) قرار داده اید، لطفاً فوراً آن را غیرفعال کنید.
اقامت کردن #SAF.
- CZ Binance (cz_binance) دسامبر 28، 2022
افشای CZ به دنبال یک حادثه در 9 دسامبر، زمانی که Binance حساب کاربری را لغو کرد که یک روز قبل از از دست دادن سرمایه شکایت کرد. آن کاربر ادعا کرد که یک کلید API لو رفته که به 3Commas گره خورده است «برای انجام معاملات روی سکههای با سقف پایین برای بالا بردن قیمت برای کسب سود استفاده میشود». بایننس از بازپرداخت هزینه به کاربر خودداری کرد. CZ توییت کرد که این ضرر غیرقابل تایید است و اگر این شرکت این ضررها را جبران کند، "ما فقط برای از دست دادن کلیدهای API کاربران پول می دهیم."
مامبا، تقریبا هیچ راهی برای ما وجود ندارد که مطمئن شویم کاربران کلیدهای API خود را ندزدیده اند. معاملات با استفاده از کلیدهای API که شما ایجاد کردید انجام شد. در غیر این صورت ما فقط به کاربران برای از دست دادن کلیدهای API خود پرداخت خواهیم کرد. امیدوارم متوجه شده باشی.
- CZ Binance (cz_binance) دسامبر 9، 2022
در 11 دسامبر، یوری سوروکین، مدیر عامل 3Commas ادعا شده در وبلاگ شرکت اسکرین شات های جعلی در توییتر و یوتیوب پخش می شد که نشان می داد شرکت امنیت ضعیفی دارد و کارمندان کلیدهای API را می دزدند. سوروکین در تحلیل فنی عمیق این تصاویر این اتهامات را رد کرد:
شخصی که اسکرین شات ها را ایجاد کرد با یک ویرایشگر HTML کار خوبی انجام داد، اما چند اشتباه کلیدی مرتکب شد که به راحتی ادعاهای آنها جعلی بودن را ثابت می کند. ما از آن نقطه به نقطه عبور خواهیم کرد.»
مسائل امنیتی برای اولین بار در 3Commas در اواخر اکتبر به وجود آمد. در آن زمان، هنوز هم عملکردی صرافی FTX یک هشدار امنیتی صادر کرد در پاسخ به گزارش کاربران مبنی بر معاملات غیرمجاز جفت های معاملاتی با سکه DMG در FTX. 3Commas و FTX مشخص کردند که هکرها حساب های 3Commas را برای انجام معاملات ایجاد کرده اند. با این حال، طبق وبلاگ 3Commas، "کلیدهای API از 3Commas گرفته نشده اند، بلکه از خارج از پلت فرم 3Commas گرفته شده اند."
مرتبط: چگونه بایننس از کاربران خود با برنامه معاملاتی مسئولانه محافظت می کند
در یک پست وبلاگ بعدی، سوروکین اذعان کرد که "ما شواهد محکمی داریم که فیشینگ حداقل تا حدودی یک عامل موثر" در از دست دادن کاربران بوده است.
در همین حال، یکی از کاربران توییتر ادعا کرده است که تمام کلیدهای API 3Commas به بیرون درز کرده است.
PSA
درز 3Commas API منتشر شده است، اگر قبلاً کلید API خود را حذف نکرده اید pic.twitter.com/yEvrxyWBIq
- db (@ tier10k) دسامبر 28، 2022
اکنون، Sorokin نشت را تأیید کرده است، و اضافه می کند که هیچ مدرکی مبنی بر اینکه نشت یک کار داخلی بوده است، یافت نشد.
1. بیانیه از 3 Commas:
ما پیام هکر را دیدیم و می توانیم صحت اطلاعات موجود در فایل ها را تایید کنیم. به عنوان یک اقدام فوری، ما از Binance، Kucoin و سایر صرافیهای پشتیبانی شده درخواست کردهایم تمام کلیدهایی را که به 3Commas متصل شدهاند، باطل کنند.
— یوری سوروکین (@YS_3Commas) دسامبر 28، 2022
منبع: https://cointelegraph.com/news/3commas-ceo-confirms-api-key-leak-following-warning-from-cz